Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1566 , T1566.001 , T1566.002 , T1566.003 , T1566.004
Злоумышленники могут рассылать копьеметательные письма с вредоносной ссылкой, пытаясь получить доступ к системам жертв. Спирфишинг со ссылкой - это особый вариант спирфишинга. Он отличается от других видов копьеметания тем, что использует ссылки для загрузки вредоносных программ, содержащихся в электронных письмах, а не прикрепляет вредоносные файлы к самому письму, чтобы избежать защитных средств, которые могут проверять почтовые вложения. Спирфишинг может также использовать методы социальной инженерии, например выдавать себя за доверенный источник.
Все виды спирфишинга - это социальная инженерия, направленная на конкретного человека, компанию или отрасль. В этом случае вредоносные письма содержат ссылки. Как правило, ссылки сопровождаются социально-инженерным текстом и требуют от пользователя активного нажатия или копирования и вставки URL-адреса в браузер, используя User Execution. Посещенный веб-сайт может скомпрометировать веб-браузер с помощью эксплойта, или пользователю будет предложено загрузить приложения, документы, zip-файлы или даже исполняемые файлы, в зависимости от того, под каким предлогом было отправлено письмо.
Злоумышленники также могут включать ссылки, предназначенные для прямого взаимодействия с читателем электронной почты, в том числе встроенные изображения, предназначенные для прямой эксплуатации конечной системы. Кроме того, злоумышленники могут использовать, казалось бы, доброкачественные ссылки, в которых используются специальные символы для имитации легитимных веб-сайтов (так называемая "атака с использованием IDN-омографов"). (Цит. по: CISA IDN ST05-016) URL-адреса также могут быть обфусцированы путем использования причуд схемы URL, таких как принятие целочисленных или шестнадцатеричных форматов имен хостов и автоматический отказ от текста перед символом "@": например, `hxxp://google.com@1157586937`.(Цитата: Mandiant URL Obfuscation 2023)
Злоумышленники также могут использовать ссылки для фишинга согласия, обычно с URL-адресами запросов OAuth 2.0, которые при принятии пользователем предоставляют разрешения/доступ для вредоносных приложений, позволяя злоумышленникам Steal Application Access Tokens. (Цитата: Trend Micro Pawn Storm OAuth 2017) Эти украденные токены доступа позволяют злоумышленникам выполнять различные действия от имени пользователя через вызовы API.(Цит. по: Microsoft OAuth 2.0 Consent Phishing 2021)
Злоумышленники также могут использовать спирфишинговые ссылки для Steal Application Access Tokens, которые предоставляют немедленный доступ к среде жертвы.Например, с помощью "фишинга согласия" можно заманить пользователя, чтобы он предоставил Злоумышленнику разрешения/доступ через вредоносный URL-адрес запроса OAuth 2.0.(Цитата: Trend Micro Pawn Storm OAuth 2017)(Цитата: Microsoft OAuth 2.0 Consent Phishing 2021)
Аналогично, вредоносные ссылки могут быть направлены на авторизацию на основе устройств, например на поток предоставления авторизации устройства OAuth 2.0, который обычно используется для аутентификации устройств без пользовательских интерфейсов/браузеров.Известный как "фишинг кода устройства", злоумышленник может отправить ссылку, которая направляет жертву на вредоносную страницу авторизации, где пользователя обманом заставляют ввести код/учетные данные, которые создают токен устройства.(Цитата: SecureWorks Device Code Phishing 2021)(Цитата: Netskope Device Code Phishing 2021)(Цитата: Optiv Device Code Phishing 2021)
https://attack.mitre.org/techniques/T1566/002
Визуализация смежных техник для T1566.002
| № | Техника |
|---|
